Beveiligingsadvies NCSC-2024-0329 [1.00] [M/H] Kwetsbaarheden verholpen in GitLab Enterprise Edition en Community Edition
Kwetsbaarheden Verholpen in GitLab Enterprise Edition en Community Edition
GitLab heeft recentelijk diverse kwetsbaarheden aangepakt in zowel de GitLab Community Edition (CE) als de Enterprise Edition (EE). Hieronder vindt u een gedetailleerde beschrijving van deze kwetsbaarheden, inclusief de getroffen versies, oplosmethoden en de bijbehorende CVE’s.
Publicatie Details
| Publicatie | Kans | Schade | Meer Informatie | Links |
|---|---|---|---|---|
| Vandaag | Medium | High | NCSC-2024-0329 [1.00] |
Signed-PGP, CSAF, |
Kenmerken van de Kwetsbaarheden
De volgende kwetsbaarheden zijn geïdentificeerd en aangepakt in GitLab CE en EE:
- Authentication Bypass by Primary Weakness
- Authorization Bypass Through User-Controlled Key
- Improper Control of Generation of Code (‘Code Injection’)
- Uncontrolled Resource Consumption
- Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
- Improper Encoding or Escaping of Output
Omschrijving
GitLab heeft significante beveiligingsproblemen opgelost in hun Community Edition (CE) en Enterprise Edition (EE). De kwetsbaarheden die aangepakt zijn, kunnen door een aanvaller misbruikt worden voor het uitvoeren van een Denial-of-Service aanval of het omzeilen van beveiligingsmaatregelen, waardoor niet-geautoriseerde toegang wordt verkregen tot bepaalde projecten of netwerken.
Bereik
| Platforms | Producten | Versies |
|---|---|---|
| GitLab | – 1 – 11.10 – 11.3 – 12.6 – 16.7 – 17.0 – 17.0.1 – 17.0.2 – 17.0.3 – 17.0.4 – 17.0.5 – 17.1 – 17.1.0 – 17.1.1 – 17.1.2 – 17.1.3 – 17.2 – 17.2.0 – 17.2.1 – 5.1 – 8.12 – 8.16 |
Oplossingen
GitLab heeft updates uitgebracht om de bovenvermelde kwetsbaarheden te verhelpen in de volgende versie-releases:
- GitLab EE en CE v17.2.2
- GitLab EE en CE v17.1.4
- GitLab EE en CE v17.0.6
Zie de GitLab release notes voor meer informatie over de updates.
CVE’s
De volgende CVE’s zijn gerelateerd aan de verholpen kwetsbaarheden:
- CVE-2024-2800
- CVE-2024-3035
- CVE-2024-3114
- CVE-2024-3958
- CVE-2024-4207
- CVE-2024-4210
- CVE-2024-4784
- CVE-2024-5423
- CVE-2024-6329
- CVE-2024-6356
- CVE-2024-7586
Door gebruik te maken van deze beveiligingsadvies, gaat u akkoord met de volgende voorwaarden. Hoewel het NCSC uiterste zorg heeft besteed aan de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of actualiteit van dit advies. De informatie is uitsluitend bedoeld als algemene informatie voor professionele partijen en er kunnen geen rechten aan de informatie worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade als gevolg van het gebruik of de onmogelijkheid van het gebruik van dit advies, waaronder schade als gevolg van onjuistheden of onvolledigheden.
Op dit beveiligingsadvies is het Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit advies zullen worden voorgelegd aan de exclusief bevoegde rechter in Den Haag, inclusief de voorzieningenrechter in kort geding.
Voor meer informatie en om de officiële PGP-gesigneerde versie, CSAF of PDF te bekijken, verwijzen we u graag naar de link in het bovenstaand overzicht.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----